Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wykryto 'niedające się zablokować’ trackery. uBlock Origin przygotowuje patcha – ale tylko na Firefoksa

22 listopada 2019, 23:55 | W biegu | komentarzy 8

The Register alarmuje o używanej celowo przez m.in. sieci reklamowe technice umożliwiającej trackowanie użytkowników pomimo używania adblockerów.

Pomysł jest prosty i opisany kilka dni temu na bug trackerze uBlock Origina: właściciel danej domeny,właściciel danej domeny, np. przejrzyste-okna.pl tworzy poddomenę np. csdfr3r2.przejrzyste-okna.pl która w DNS-ie jest jednak aliasem na serwer sieci reklamowej: straszne-reklamy-zabieramy-ci-prywatnosc-kolezko.pl. Poddomena jest też często „losowa” tak żeby nie dało się przygotować prostej reguły w adblockerze.

Teraz ciasteczko wysłane do tej poddomeny wygląda zupełnie legalnie, prawda? W końcu dla przeglądarki to „ta sama domena” którą odwiedzamy – możne znajdują się tam jakieś zasoby wymagane do prawidłowego działania serwisu? Przepuśćmy to. Natomiast na poziomie adresów IP (czyli realnej komunikacji) ciastko „trafia tam gdzie ma trafiać” (czyli do reklamodawcy).

Pierwsza poprawka w uBlock Origin umożliwiająca wykrycie (i zablokowanie) takich sytuacji jest w wersji: v1.24.1b0, choć autor pracuje jeszcze nad optymalniejszym rozwiązaniem, a wspomniane ustawienia można wprowadzić na razie tylko ręcznie.

Co ciekawe kilka lat temu problem dostrzegł prawdopodobnie jako pierwszy Łukasz Olejnik w pracy „Analysis of OpenX-Publishers Cooperation„. W związku z tym skierowaliśmy do Łukasza kilka pytań:

1) Jaka była motywacja przeprowadzenia badania opisanego w pracy: „Analysis of OpenX-Publishers Cooperation”?
Od 2013 mocno zajmowałem się badaniem systemów kierowania reklam poprzez aukcje w czasie rzeczywistym Real-Time Bidding. O tym mechanizmie dziś wypowiada się bardzo wiele osób, także dlatego że ludzi najwyraźniej zaskoczyło istnienie systemu za pomocą którego można dokonywać mikrotargetowania politycznego na dużą skalę.
Schematy takie jak ten zauważałem gdy „coś mi się nie zgadzało”. Konkretniej, na pierwszy rzut oka moje skrypty do sondowania raportowały, że to strona internetowa sama sobie serwuje dynamicznie reklamy. Trudno było mi w to uwierzyć. Ten konkretny przypadek to była ciekawa sprawa, zasługiwała na bliższe przyjrzenie się.

2)  Jak myślisz, dlaczego technika trackowania użytkowników bazująca na ustawieniach DNS nie została jeszcze rozwiązana w adblockerach?

Bo nie była powszechnie znana, także dlatego że to rozwiązanie niszowe, a do niedawna istniały lepsze podejścia. W miarę gdy coraz więcej użytkowników korzysta z blokerów reklam, a przeglądarki blokują śledzenie, zyskuje na atrakcyjności.

3) Czy znasz jeszcze jakieś inne tego typy techniki, na które warto zwrócić uwagę?

Zawsze wiele kreatywnych rzeczy można było wykonać za pomocą przekierowań HTTP i parametrów URL. Szczęśliwie dziś w firmach rozwijających przeglądarki internetowe znajdują się ludzie którzy zdają sobie z takich rzeczy sprawę. Choć nawet oni tej techniki z aliasami nie traktowali jako poważne zagrożenie.
–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. cyber helmut

    Ok, a blokowanie third party cookies w przeglądarce pomaga w tej sytuacji?

    Odpowiedz
    • nie, bo tu mamy 1-st party cookie

      Odpowiedz
  2. Mariolka

    A, to jest oparte na ciasteczkach? Nie ma problemu, są wycinane po zamknięciu karty lub przejściu na inną stronę (zmianie domeny). Local storage też czyszczę… i nie używam Chrome.

    Odpowiedz
    • TB

      A ja mam na działce bunkier i roczny zapas konserw. Nigdy nie oddalam się na ponad 10 minut jazdy rowerem od bunkra. Apokalipsie pluję w twarz.

      Odpowiedz
  3. John

    A czy przeglądarka Brave ze swoim blockerem lub zewnętrzna aplikacja AdGuard (apka na kompie) poradzą sobie z tym?

    Odpowiedz
  4. biedak1

    a coś bardziej praktycznego? bo te śledzenie z reklamami to bieda na kiju która mi nie przeszkadza, jak uchronić się przed śledzeniem swojego biednego konta bankowego przed rządem?

    Odpowiedz
  5. Karolka

    Następnym krokiem będzie hostowanie strony u reklamodawcy?

    Odpowiedz
  6. Krzysztof Kolumb
    Odpowiedz

Odpowiedz